Heti beszámolóim - korábbiak itt - újabb epizódjának lejegyzése közben megfogalmazódott bennem, hogy valószínűleg sosem foglalkoztam volna tanúsítványokkal és elektronikus aláírásokkal, ha nem lenne része az ITFactory tananyagának. Ebből sokak számára kiderülhet, hogy mennyire megizzadtam miközben próbáltam felfogni, mire is valók ezek az első pillantásra inkább csak bürokratikusnak tűnő azonosítók.
A Wikipedia szerint, a digitális aláírás a nyílt kulcsú titkosító rendszerek egy lehetősége, amellyel a hagyományos aláírást tudjuk helyettesíteni az informatika világában. Ha valaki hozzám hasonlóan, eddig még nem tudta volna, egy ilyen aláírás úgy működik, – elsőre nem annyira érthető módon - hogy az aláíró kódolja a titkos kulcsával. Az így létrejött kód csak a küldő titkos kulcsával állítható elő, és csak az ő nyilvános kulcsával olvasható el. Ezt a kódot csatolnunk kell az üzenethez és így kell elküldeni. Tehát a kódot ahova elküldjük, ott ugye bárki el is tudja olvasni. Ha még mindig nem lenne érthető, akkor legjobb példa, hogy van egy lakatunk, amit mi csak be tudunk zárni, viszont mivel mindenkinek küldünk kulcsot, ezért mindenki ki tudja nyitni. Nem a lakat a lényeg.
Elsőként nem nagyon értettem, hogy miért is jó az, ha mindenki el tudja olvasni az én gondosan titkosított információimat. Később ez még sokat bonyolódott. Miután néhány órát foglakoztunk a témával elkezdett derengeni, hogy miért is nem érdemes hamisítani egy ilyen fura azonosítót. Sőt az igazi cél leginkább az, hogy a lehető legjobban megnehezítsük, hogy egy általunk digitális aláírással ellátott dokumentumot, bárki könnyedén módosíthasson, meghamisíthasson.
Na és akkor jön a csavar a tanúsítványokkal, gyökértanúsítvány kibocsátókkal, és a nem annyira megbízható CA-kkal, amit akár pillanatok alatt magunk is összedobhatunk. A tanúsítvány gyakorlatilag egy olyan digitális kulcs, amit egy hitelesítés-szolgáltató ad ki, így tehát egy harmadik cég vállal felelősséget a mi általunk kiküldött tartalmak titkosításáért. Ennek a kódnak a publikus része nem utazik a leveleinkkel, hanem a Windowsban lakik gyárilag.
Volt nagy öröm, mikor elkészítettem az első tanúsítványomat, igaz hogy nem a legnagyobb szolgáltatók vállaltak garanciát az titkosításomért, de tanulókörnek megtette az a gyakorló tanúsítványszolgáltató is, amit az órán hoztunk létre. Bizonyos esetekben még működött is, s persze arra nagyszerű volt, hogy megértsem miért is kell súlyos pénzeket fizetni egy igazi tanúsítványért.
A gyakorlatozás közben arra is rá kellett ébrednem, hogy ez is hamisítható, illetve egész pontosan másolható, tükrözhető, szóval alapvetően manipulálható. A korábban emlegetett Cain itt is elég jó munkát végez, de szerencsére nem tökéleteset, így a hamis tanúsítványokat azért a szakavatott szem könnyedén kiszúrja. Sajnos a nem szakavatott meg egyáltalán nem, úgyhogy itt is lehet zűrzavart csinálni az internetről könnyedén letölthető programokkal.
Noha megint megtanultunk egy csomó kiskaput becsukni, nekem egyre inkább úgy tűnik, hogy aki végigcsinálja a 13 hetet, annyira paranoiás lesz Windows ügyben, hogy be se meri kapcsolni a szervereit. Na jó, viccet félretéve, az utóbbi alkalmakon újabb mélyfúrásokat végeztünk a Windows általam korábban messze elkerült beállításai között. Saját hitelesített oldalakat varázsoltunk, s persze néha jól elpuskázva a beállításokat számos alkalommal padlóra küldtük a virtuális gépeinket. Ezt persze valószínűleg nem gondolják vidámnak a NetAcademia webmesterei, hiszen 168 ember hibáit javítgatni nem tűnik leányálomnak.
Kicsit megszeppentem, hogy a hagyományos wifi-hálózatok mennyire védtelenek, illetve hogy mennyi idő alatt lehet a védettség illúzióját elsöpörni a különböző jelszótörő alkalmazások segítségével.
A tanfolyam felénél tartva egész kis arzenál gyülekezett össze a virtuális gépeinken, s azt gondolom, ezek többsége nem feltétlenül a hackerek által használt legfrissebb darabok közül való. Az órán gyakorlatként megismert réseket persze a rendszergazdaként, vagy biztonsági szakemberként tevékenykedő padtársaim a mindennapi munkájukban is folyamatosan tömködik, de bennem csak mostanában fogalmazódott meg az, hogy ez az egész mennyire sziszifuszi küzdelem.
Ami nekem vidámság, nekik egész durva napi valóság, amelyben a másik oldal egyre jobban képzett, s ha nem tanulunk meg tőlük mindent, akkor valószínűleg legközelebb a saját cégünk adataink kerülnek illetéktelen kezekbe. Kezdek felnézni azokra, akik nap, mint nap építik újjá a digitális falakat, vastagítják a bástyákat, figyelik a hátsókapukat döngetőket és utána még van erejük hetente kétszer végigülni az este nyolcig tartó négyórás előadásokat. Persze a tanfolyamon ők is egy kicsit átállhatnak a másik oldalra, belekóstolhatnak a támadók szerepkörébe, kipróbálhatják az általában ellenük bevetett faltörő kosokat. Valószínűleg ez a titka annak, hogy mindannyian feszült figyelemmel igyekszünk befogadni a ránk záporozó információkat.
A sorozat többi része:
1: Nem hackereket képez a NetAcadémia
2: Bekopogtam Obamához
3: Feltörhetelen kód márpedig van
4: Hackerek lopták el az álmaim
5: Saját iWiW és maszek Google
6: A holtnyelvek és .NET
7: Egy kóstolás az e-learningből
8: Kész a maszek iWiW
9: Programozzunk baktériumokat
10: Maszek iWiW után LINQ
11. Nem könnyű a webről lopni